概要
病毒別名:貝革熱 雛鷹 【江民】處理時間:
威脅級別:★★★
中文名稱:惡鷹變種C
病毒類型:蠕蟲
影響系統:Win9x/Win2000/WinXP/Windows Server 2003
病毒行為:
“惡鷹”家族
編寫工具:
VC編寫,UPX壓縮
傳染條件:
利用郵件傳播
發作條件:
檢查計算機日期,如果當前日期是在2004年3月25日之後,病毒將卸載自己並退出。
系統修改:
A、建立互斥體"imain_mutex",用於保證系統中只有唯一的病毒進程;
B、如果病毒在系統目錄(%system%)被激活,他會運行記事本,以迷惑用戶。
C、自我複製到系統目錄
%system%Readme.exe
D、在系統目錄中創建以下檔案
%system%onde.exe 病毒用於發郵件的模組
%system%doc.exe 用於調用onde.exe
%system%
eadme.exeopen 病毒的ZIP壓縮檔檔案
E、使用執行緒注入的方法將後門程式的模組注入到系統進程explorer.exe中,以便隱藏執行;
F、添加以下鍵值
"gouday.exe"="%System%
eadme.exe"
到
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
以便病毒可隨機自啟動;
G、添加以下鍵值
"uid"="【Random Value】"
"port"="2745"
"frun"="1"
HKEY_CURRENT_USERSOFTWAREDateTime2
該鍵值是病毒作者用於記錄病毒信息;
H、打開TCP連線埠2745監聽,允許黑客進行一個未授權的訪問;
I、訪問以下網止,上傳病毒在被感染系統內獲得的信息,如IP位址等:
permail.uni-muenster.de
www.songtext.net/de
www.sportscheck.de
J、中上以下程式。下面的程式多為常用反病毒軟體的升級程式:
ATUPDATER.EXE
AVWUPD32.EXE
AVPUPD.EXE
LUALL.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
UPDATE.EXE
NUPGRADE.EXE
ATUPDATER.EXE
aupdate.exe
AUTODOWN.EXE
AUTOTRACE.EXE
autoupdate.exe
AVXQUAR.EXE
CFIAUDIT.EXE
MCUPDATE.EXE
NUPGRADE.EXE
OUTPOST.EXE
AVLTMAIN.EXE
K、搜尋以下指定後綴名的檔案,查找其中的電子郵件地址,用於傳送病毒郵件:
.wab、 .txt、 .htm、 .html、 .dbx、 .mdx、 .eml、 .nch、 .mmf、 .ods、 .cfg、 .asp、 .php、 .pl、.adb、 .sht
L、病毒使用自己的發信引擎大是妻送病毒郵件,其特徵如下:
發件人: (使用搜尋到的仍意郵件地址)
主題: (可以是以下字元串中)
Accounts department
Ahtung!
Camila
Daily activity report
Flayers among us
Freedom for everyone
From Hair-cutter
From me
Greet the day
Hardware devices price-list
Hello my friend
Hi!
Jenny
Jessica
Looking for the report
Maria
Melissa
Monthly incomings summary
New Price-list
Price
Price list
Pricelist
Price-list
Proclivity to servitude
Registration confirmation
The account
The employee
The summary
USA government abolishes the capital punishment
Weekly activity report
Well...
You are dismissed
You really love me? he he
內容: 通常為空
附屬檔案名: <隨機字元串>.exe 並打包到一個zip檔案中
該病毒不向包含以下域名或郵件地址名的的郵件地址傳送病毒郵件:
.ch
@hotmail.com
@msn.com
@microsoft
@avp.
noreply
local
root@
postmaster@
發作現象:
病毒主程式使用“電子表格”檔案的圖示,如下圖:
